Sự gia tăng của đám mây và làm việc từ xa dẫn đến khái niệm CNTT 'không có chu vi' và các công ty phải vật lộn để tìm ra một biên giới để bảo vệ. Khó khăn là chu vi không còn là một 'thứ' với sự hiện diện vật lý mà là một khái niệm. Khái niệm đó là bản sắc - cho bất cứ điều gì và từ bất cứ đâu.
Danh tính luôn là chìa khóa bảo mật. Nhưng ngành công nghiệp này đã trở nên lạc lõng trong việc tập trung nhiều hơn vào nội dung của lưu lượng truy cập hơn là nguồn của lưu lượng truy cập. Nếu chúng tôi có danh tính được ủy quyền và có thể xác thực danh tính được ủy quyền, chúng tôi có thể chặn mọi người và mọi thứ khác. Kẻ xấu không thể vào được - đó là lý thuyết.
Nhưng trong những năm gần đây, số lượng danh tính đã phát triển. Ước tính rằng người dùng có khoảng 100 danh tính là phổ biến. Sự mở rộng trong đám mây, sự chuyển đổi kinh doanh ngày càng tăng và sự bùng nổ của IoT đều yêu cầu danh tính. Nhưng chỉ có âm lượng đã thay đổi. Danh tính vẫn là chìa khóa để truy cập vào mạng và di chuyển trong mạng.
Larry Chinski, Phó chủ tịch chiến lược IAM toàn cầu tại One Identity, cảnh báo: “Bảo mật danh tính sẽ trở nên quan trọng hơn tất cả khi 'metaverse' đạt được sức hút, cảnh báo của Larry Chinski, Phó chủ tịch chiến lược IAM toàn cầu tại One Identity. ô (con người, kỹ thuật số, RPA, v.v.). Khi việc áp dụng metaverse tăng lên, các vấn đề về quản lý và bảo mật danh tính sẽ chỉ trở nên sâu sắc hơn - và là mối đe dọa lớn hơn đối với khả năng phục hồi của doanh nghiệp ”.
Không có gì chắc chắn hơn là các cuộc tấn công vào và có danh tính sẽ gia tăng vào năm 2022.
Gian lận nhận dạng kỹ thuật số
Gian lận là một cuộc tấn công dựa trên danh tính phổ biến nhất. Có nhiều tiểu loại gian lận, nhưng tất cả đều yêu cầu sử dụng sai danh tính của một người nào đó. Gian lận sẽ tiếp tục gia tăng vào năm 2020 do ngày càng có nhiều danh tính để sử dụng sai, một lượng lớn thông tin đăng nhập bị đánh cắp trên dark web và việc sử dụng ngày càng nhiều tự động hóa bot (để nhồi nhét thông tin xác thực và hơn thế nữa) và các kỹ thuật AI của bọn tội phạm.
Tiếp quản tài khoản, mở tài khoản và lừa đảo BEC là ba hạng mục phụ cần theo dõi vào năm 2022.
Việc chiếm đoạt tài khoản xảy ra khi kẻ tấn công có quyền truy cập vào thông tin đăng nhập của người dùng hợp pháp. Chúng có được thông qua nhồi thông tin xác thực, giờ đây được phân phối thông qua các chương trình tinh vi; thông qua các cuộc tấn công lừa đảo trực tiếp (ngày càng được phân phối bởi phishing-as-a-service - xem Cyber Insights 2022: The Good Versus the Bad); thông qua phần mềm độc hại như kẻ đánh cắp thông tin; và thông qua chiếm quyền điều khiển phiên. Việc chiếm đoạt tài khoản có thể dẫn đến gian lận tài chính đối với cá nhân hoặc quyền truy cập vào mạng công ty của người dùng.
Việc mở tài khoản xảy ra khi tội phạm đã có kiến thức chi tiết về mục tiêu - thường là thông qua PII bị đánh cắp. Với dữ liệu đó, tội phạm có thể mở tài khoản mới và sử dụng các dịch vụ đi kèm với tài khoản đó.
BEC lừa đảo chắc chắn sẽ gia tăng. Những điều này xảy ra khi kẻ tấn công mạo danh danh tính công ty và yêu cầu hoặc hướng dẫn đồng nghiệp chuyển tiền vào tài khoản do kẻ tấn công kiểm soát. Có những gợi ý rằng bọn tội phạm đang ngày càng khám phá khả năng sử dụng công nghệ deepfake dựa trên AI như một phần của quá trình mạo danh (xem Cyber Insights 2022: AI đối đầu để biết thêm thông tin). Số tiền liên quan đến BEC lừa đảo có nghĩa là chúng chắc chắn sẽ tăng vào năm 2022.
Nikolay Gaubitch, giám đốc nghiên cứu của Pindrop, dự kiến sẽ chứng kiến sự gia tăng trong gian lận trong trung tâm cuộc gọi vào năm 2022. Vào năm 2021, do đại dịch xảy ra, “Chúng tôi đã chứng kiến sự gia tăng lớn trong việc làm việc từ xa và giảm tương tác mặt đối mặt. Điều này đương nhiên dẫn đến lưu lượng truy cập vào các trung tâm cuộc gọi tăng lên và trong một thời gian dài, thời gian chờ cuộc gọi kéo dài. Một hiệu quả đáng ngạc nhiên của việc này là giảm các cuộc gọi gian lận, ”ông giải thích.
“Tuy nhiên, có vẻ như những kẻ lừa đảo đang bắt đầu quay trở lại thói quen làm việc bình thường giống như những người còn lại trong chúng ta. Vài tháng qua đã cho thấy sự gia tăng ổn định của các cuộc gọi lừa đảo. Dựa trên quan sát và kinh nghiệm này, vào năm 2022, chúng tôi có thể mong đợi những kẻ lừa đảo quay trở lại nhắm mục tiêu vào các trung tâm cuộc gọi ”.
Nhưng nó sẽ không chỉ là trung tâm cuộc gọi vào năm 2022 - nó sẽ có mặt trên diện rộng. “Chúng tôi kỳ vọng rằng các cuộc tấn công chống lại danh tính kỹ thuật số sẽ tiếp tục gia tăng vào năm 2022, cả về số lượng và mức độ phức tạp, vì hai lý do chính. Thứ nhất, có rất nhiều mục tiêu khả thi về mặt thương mại thông qua tự động tạo tài khoản và tiếp quản tài khoản, qua đó có thể thu được lợi nhuận tài chính, ”David Stewart, Giám đốc điều hành tại Approov cho biết. “Thứ hai, người dùng cuối không có khả năng sớm ngừng sử dụng lại mật khẩu trên các dịch vụ, dẫn đến việc vi phạm dữ liệu ở một tổ chức trở thành vấn đề đối với mọi tổ chức khác vì các cuộc tấn công nhồi nhét thông tin xác thực hiện được vũ khí hóa rất nhiều thông qua việc bán lại thông tin đăng nhập trên dark web.”
Nhận dạng máy
Danh tính phi con người, được gọi chung là danh tính máy, nói chung nhiều hơn danh tính con người trong một tổ chức. Chúng bao gồm thiết bị, dịch vụ và khối lượng công việc - và thường là tài khoản 'đặc quyền'. Sự tăng trưởng của họ vẫn đang tăng nhanh cùng với cả quá trình chuyển đổi kinh doanh và tự động hóa, và theo truyền thống, họ không được quan tâm nhiều đến bảo mật như danh tính con người. Sự gia tăng bản sắc ngày càng tăng này sẽ chứng tỏ thách thức cho đến năm 2022.
Larry Chinski cho biết: “Sự phát triển của danh tính máy sẽ tạo ra một thách thức lớn hơn về lan rộng danh tính cho các tổ chức. “Do sự hội tụ của đổi mới AI, số hóa và lực lượng lao động không đồng bộ được tăng tốc bởi đại dịch, các doanh nghiệp đang ngày càng triển khai các giải pháp như RPA [tự động hóa quy trình bằng robot] để tự động hóa nhiệm vụ, tăng năng suất và nâng cao dịch vụ khách hàng.”
Tuy nhiên, anh ấy tiếp tục, “Có một vấn đề lớn thường bị bỏ qua khi nói đến sự đổi mới của AI - bảo mật. Ngày nay, 94% các tổ chức đã triển khai bot hoặc RPA báo cáo những thách thức trong việc đảm bảo an toàn cho chúng. Điều gây ra thách thức này là các chuyên gia bảo mật không nhận ra rằng các bot có danh tính giống như con người ”.
Vì RPA yêu cầu quyền truy cập vào dữ liệu nên cuối cùng chúng cũng cần được bảo mật giống như các đối tác con người của nó. “Vì vậy, khi các doanh nghiệp triển khai các giải pháp AI như RPA theo cấp số nhân,” ông nói thêm, “chúng ta sẽ thấy một loạt các vi phạm dựa trên bot bởi vì các chuyên gia bảo mật không được trang bị để xử lý sự lan rộng danh tính liên quan đến sự phát triển của máy móc.”
Các cuộc tấn công dựa trên danh tính chống lại đám mây
Cấu hình sai
Cấu hình sai đám mây vẫn là một vấn đề nghiêm trọng. Cơ sở dữ liệu, đôi khi chứa thông tin nhạy cảm và cá nhân, thường xuyên bị lộ ra trên internet mà không có kiểm soát truy cập dựa trên danh tính nào cả. Các cơ sở dữ liệu như vậy thường xuyên được các nhà nghiên cứu khám phá và tiết lộ.
Tuy nhiên, cần lưu ý rằng các công cụ được các nhà nghiên cứu sử dụng để tìm ra các cấu hình sai này thường giống với các công cụ được tội phạm mạng sử dụng. Vào thời điểm một nhà nghiên cứu đã tìm ra cấu hình sai, nghiên cứu và phát hiện ra chủ sở hữu, đồng thời tiết lộ lỗi cho chủ sở hữu đó, bọn tội phạm chắc chắn cũng sẽ tìm thấy và truy cập vào cơ sở dữ liệu.
Tuy nhiên, có thể hy vọng rằng việc nâng cao nhận thức về vấn đề này sẽ dẫn đến ít cấu hình sai hơn vào năm 2022. Nhưng “Vào năm 2022, chúng ta sẽ thấy tội phạm mạng lợi dụng các API SaaS bị định cấu hình sai để khai thác dữ liệu cá nhân ở quy mô chưa từng có”, Josh cảnh báo Rickard, kiến trúc sư giải pháp bảo mật tại Swimlane. “Điều này sẽ dẫn đến việc phân phối lớn mã phần mềm cốt lõi trở nên bị xâm phạm và ảnh hưởng đến hàng nghìn tổ chức trên toàn cầu”.
Các cuộc tấn công dựa trên thông tin xác thực
Tuy nhiên, cấu hình sai không phải là một lựa chọn tấn công đáng tin cậy cho tội phạm mạng - tất cả những gì chúng có thể làm là chọn từ những cấu hình sai mà chúng tìm thấy. Các mục tiêu quan trọng và hấp dẫn hơn gần như chắc chắn sẽ được bảo vệ tốt hơn. Chỉ vì lý do này, chúng ta có thể mong đợi sự gia tăng các cuộc tấn công đám mây thông qua Active Directory.
“Tại chỗ Active Directory (AD), dịch vụ thư mục của Windows, vẫn là một điểm yếu trong hầu hết các công ty,” Guido Grillenmeier, giám đốc công nghệ tại Semperis, cảnh báo. “Là cốt lõi của hệ điều hành Windows, AD quản lý quyền của người dùng và nắm giữ chìa khóa của nhiều quy trình và dịch vụ quan trọng đối với doanh nghiệp - nhưng cấu hình mặc định của nó khiến nó trở thành mục tiêu dễ dàng.”
Trong khi các doanh nghiệp đang ngày càng chuyển khối lượng công việc từ tại chỗ sang đám mây, AD vẫn là một phần cơ sở hạ tầng nền tảng cho cả hai môi trường đối với hầu hết các tổ chức.
“Tội phạm mạng biết điều này,” anh tiếp tục, “và ngày càng sử dụng các điểm yếu của AD làm cơ sở cho các cuộc tấn công chống lại dữ liệu và ứng dụng trên đám mây, do đó bỏ qua các hệ thống bảo vệ đám mây cổ điển”.
Nhưng tuy nhiên, bọn tội phạm có được thông tin xác thực có thể sử dụng, số lượng và mức độ nghiêm trọng của các cuộc tấn công đám mây sẽ tăng lên. “Vi phạm đám mây sẽ trở nên phổ biến hơn, với việc những kẻ tấn công xâm phạm thông tin đăng nhập để truy cập dữ liệu thiết yếu trên các đám mây công cộng,” Boaz Gorodissky, CTO và đồng sáng lập tại Điện tử XM.
Hệ thống nhận dạng đám mây
Grillenmeier cũng tin rằng những kẻ tấn công sẽ ngày càng nhắm vào các hệ thống nhận dạng. “Như sự cố ngừng hoạt động của Facebook gần đây cho thấy, khi các nhà cung cấp danh tính chính ngừng hoạt động, những ứng dụng phụ thuộc vào họ để xác thực người dùng cũng bị ảnh hưởng”.
Càng nhiều người dùng dựa vào cơ sở hạ tầng dùng chung, tình trạng ngừng hoạt động càng trở nên trầm trọng hơn. “Điều này khiến các nhà cung cấp danh tính lớn trở thành mục tiêu hoàn hảo cho tin tặc,” anh tiếp tục. “Đối với số lượng doanh nghiệp đang phát triển nhanh chóng trên khắp thế giới phụ thuộc vào đám mây Microsoft Azure, Azure AD hoạt động như một nhà cung cấp danh tính chính, xác thực vô số người dùng mỗi phút. Do đó, tin tặc xâm phạm Azure AD có thể lấy đi nhiều ứng dụng cùng một lúc và gây thiệt hại trên diện rộng. "
Tổng kết
Joseph Carson, giám đốc khoa học bảo mật tại ThycoticCentrify cho biết: “Danh tính là vành đai mới và quyền truy cập là bảo mật mới”. buzz xung quanh không tin tưởng). “Việc chuyển đổi mô hình sang làm việc từ xa đang tăng tốc, khiến cho chu vi doanh nghiệp truyền thống gần như hoàn toàn dư thừa. Trong nỗ lực của họ để đảm bảo chu vi mới, các tổ chức trước tiên phải vật lộn với thử thách xác định chính xác nó. Các yếu tố như điện toán đám mây, mạng văn phòng tại nhà, điểm cuối, ứng dụng di động và hệ thống tại chỗ kế thừa đã làm trầm trọng thêm vấn đề này. Một số tổ chức đã cố gắng thực thi nhiều điểm chu vi cạnh, nhưng điều này lại trở thành một thách thức lớn để quản lý và bảo mật ”.
Chìa khóa là điểm tiếp xúc trong toàn tổ chức, cả trong nội bộ và với các đơn vị bên ngoài; và yếu tố chung là bản sắc. “Điều này có nghĩa là quyền truy cập đã trở thành biện pháp kiểm soát an ninh mới cho chu vi của tổ chức,” ông tiếp tục. “Vào năm 2022, các doanh nghiệp phải giành lại quyền kiểm soát bằng cách đặt Bảo mật danh tính và quyền truy cập trở thành ưu tiên hàng đầu. Quyền truy cập đặc quyền đã trở thành bài kiểm tra đa đồ thị kỹ thuật số để xác minh rằng danh tính là xác thực trước khi cho phép cấp quyền cho các tài nguyên. ”
Nếu không làm như vậy vào năm 2022 sẽ dẫn đến ngày càng nhiều vụ vi phạm khi hội tụ của sự lan rộng danh tính khổng lồ, ngày càng tinh vi và chuyên nghiệp hơn giữa những kẻ tấn công và sự xuất hiện của sự hỗ trợ của AI đối thủ.
Giới thiệu về SecurityWeek Cyber Insights 2022
Cyber Insights 2022 là một loạt các bài báo kiểm tra sự phát triển tiềm ẩn của các mối đe dọa trong năm mới và hơn thế nữa. Sáu khu vực đe dọa chính được thảo luận:
• Quốc gia
• Bản sắc
• Cải thiện sự tinh vi của tội phạm (Xuất bản 01/31/22)
Mặc dù các đối tượng đã được tách biệt, các cuộc tấn công sẽ hiếm khi xảy ra một cách cô lập. Các cuộc tấn công của nhà nước quốc gia và chuỗi cung ứng thường sẽ được liên kết với nhau - như ý muốn chuỗi cung ứng và ransomware. AI đối nghịch có thể sẽ được nhìn thấy chủ yếu trong các cuộc tấn công chống lại danh tính; ít nhất là trong ngắn hạn. Và cơ bản của mọi thứ là sự ngày càng tinh vi và chuyên nghiệp của tội phạm mạng.
Bảo mật đã nói chuyện với hàng chục chuyên gia bảo mật và nhận được gần một trăm đề xuất cho loạt bài này.
Kevin Townsend là Cộng tác viên cấp cao tại SecurityWeek. Ông đã viết về các vấn đề công nghệ cao kể từ trước khi Microsoft ra đời. Trong 15 năm qua, ông chuyên về an ninh thông tin; và đã có hàng nghìn bài báo được xuất bản trên hàng chục tạp chí khác nhau - từ The Times và Financial Times đến các tạp chí máy tính hiện tại và lâu đời.
tags:
