Trong bối cảnh

Các chiến lược tấn công mạng đã có sự chuyển dịch đáng kể, không còn tập trung chủ yếu vào các lỗ hổng CVE đã biết mà thay vào đó là khai thác các tài sản số bị lộ (exposed digital assets). Sự chuyển đổi này đặt ra những thách thức mới cho các chuyên gia an ninh, đòi hỏi một cách tiếp cận toàn diện hơn để bảo vệ hệ thống.

Sự Chuyển Đổi Trong Chiến Lược Tấn Công Mạng

Ngày càng nhiều cuộc tấn công khởi phát từ các tài sản số phơi nhiễm thay vì các lỗ hổng phần mềm đã được công bố. Điều này phản ánh sự phát triển nhanh chóng của hạ tầng IT doanh nghiệp.

Khi các tổ chức áp dụng mạnh mẽ nền tảng đám mây và kiến trúc phân tán, các tài sản trước đây chưa được biết đến hoặc không được quản lý đang trở thành điểm vào thực tế cho kẻ tấn công.

Những tài sản này bao gồm các máy chủ đám mây bị lãng quên (forgotten cloud instances), API bị phơi nhiễm, cấu hình lưu trữ sai (misconfigured storage), và các dịch vụ công khai dễ tiếp cận.

Chúng tạo ra các điểm yếu thực sự trên bề mặt tấn công mà các phương pháp bảo mật truyền thống thường bỏ qua.

Hạn Chế Của Phương Pháp Bảo Mật Dựa Trên Lỗ Hổng CVE Truyền Thống

Cách tiếp cận bảo mật truyền thống thường tập trung vào việc quản lý các lỗ hổng CVE (Common Vulnerabilities and Exposures). Các tổ chức thường ưu tiên vá lỗi dựa trên xếp hạng CVSS (Common Vulnerability Scoring System) và các cảnh báo từ các tổ chức như CISA.

Tuy nhiên, các cuộc tấn công hiện đại đang vượt ra ngoài phạm vi này. Các vấn đề không phải lúc nào cũng xuất phát từ lỗi mã hóa phần mềm có CVE tương ứng, mà thường là từ các sai sót trong cấu hình hoặc quản lý tài sản.

Sự tập trung quá mức vào CVE có thể tạo ra một điểm mù, khiến các đội ngũ an ninh bỏ lỡ những rủi ro nghiêm trọng từ các tài sản bị phơi nhiễm.

Để hiểu rõ hơn về các loại lỗ hổng này, có thể tham khảo cơ sở dữ liệu quốc gia về lỗ hổng tại NVD (National Vulnerability Database), nơi liệt kê nhiều CVE liên quan đến misconfiguration.

Các Véc Tơ Tấn Công Phổ Biến Từ Tài Sản Bị Lộ

Các tài sản bị phơi nhiễm thực tế bao gồm nhiều dạng khác nhau, từ những dịch vụ tưởng chừng vô hại đến các hệ thống trọng yếu. Một số ví dụ điển hình là:

• Misconfigured Cloud Storage: Các bucket lưu trữ đám mây (như Amazon S3, Azure Blob Storage) được cấu hình sai quyền truy cập, cho phép truy cập công khai hoặc truy cập từ các nguồn không xác định.
• Exposed APIs: Các giao diện lập trình ứng dụng (API) không được bảo vệ đúng mức, hoặc có các điểm cuối (endpoints) nhạy cảm được phơi bày ra internet mà không cần xác thực.
• Forgotten Assets: Các máy chủ thử nghiệm, môi trường phát triển (development environments), hoặc các dịch vụ cũ không còn được sử dụng nhưng vẫn hoạt động và kết nối mạng, thường thiếu bản vá hoặc cấu hình bảo mật.
• Publicly Accessible Services: Các dịch vụ như SSH, RDP, cơ sở dữ liệu (MongoDB, Elasticsearch) được mở trực tiếp ra internet mà không có lớp bảo mật bổ sung hoặc kiểm soát truy cập chặt chẽ.

Những điểm này tạo ra các điểm vào tấn công thực tế mà kẻ thù có thể dễ dàng khai thác.

Cách Kẻ Tấn Công Khai Thác Tài Sản Bị Lộ

Kẻ tấn công không chỉ tìm kiếm các lỗ hổng CVE đã biết. Thay vào đó, chúng đánh giá các dịch vụ bị phơi nhiễm, xác định điểm yếu và lập bản đồ các đường dẫn tấn công tiềm năng.

Quy trình này thường bắt đầu bằng việc thu thập thông tin tình báo mở (OSINT – Open-Source Intelligence) thông qua các công cụ như Shodan, Censys, hoặc Fofa để phát hiện các tài sản công khai.

Ví dụ, kẻ tấn công có thể quét các dải IP của một tổ chức để tìm kiếm các cổng mở, sau đó kiểm tra phiên bản phần mềm chạy trên các cổng đó, và tiếp theo là thử các thông tin đăng nhập mặc định hoặc khai thác cấu hình sai.

Một ví dụ về kiểm tra cơ bản mà kẻ tấn công có thể thực hiện trên một máy chủ bị phơi nhiễm:

nmap -sV -p 22,80,443,3389,8080 <target_IP>
cult  HTTP://<target_IP>/admin

Lệnh nmap giúp xác định các cổng mở và phiên bản dịch vụ, trong khi curl có thể được dùng để kiểm tra sự tồn tại của các thư mục quản trị hoặc các điểm cuối nhạy cảm không được bảo vệ.

Quản Lý Bề Mặt Tấn Công (Attack Surface Management – ASM) Là Gì?

Attack Surface Management (ASM) là một phương pháp quản lý bảo mật chủ động, giúp các đội ngũ an ninh mạng có được cái nhìn toàn diện về tất cả các tài sản số của tổ chức.

Nền tảng ASM, như Criminal IP ASM, sử dụng công nghệ AI và thông tin tình báo về các mối đe dọa mạng để liên tục khám phá, lập danh mục, giám sát và phân tích rủi ro của tất cả các tài sản số.

Mục tiêu của ASM là phát hiện sớm các rủi ro từ các tài sản bị phơi nhiễm, bao gồm cả những tài sản không được quản lý hoặc bị lãng quên, trước khi chúng có thể bị kẻ tấn công khai thác.

Nền tảng này cung cấp khả năng hiển thị sâu rộng, cho phép các đội ngũ bảo mật nhanh chóng xác định các điểm yếu và thực hiện các bước khắc phục trước khi sự cố xảy ra.

Lợi Ích Của ASM Trong Bảo Mật Doanh Nghiệp

ASM mang lại nhiều lợi ích thiết thực cho chiến lược an ninh mạng của tổ chức:

• Phát hiện rủi ro sớm: Khám phá liên tục các tài sản mới hoặc bị lãng quên, từ đó phát hiện các cấu hình sai hoặc lỗ hổng tiềm ẩn trước khi chúng bị khai thác.
• Tăng cường khả năng hiển thị: Cung cấp một cái nhìn tổng thể về toàn bộ bề mặt tấn công kỹ thuật số, bao gồm cả các tài sản trong môi trường đám mây và kiến trúc phân tán.
• Ưu tiên khắc phục hiệu quả: Phân loại và ưu tiên các rủi ro dựa trên mức độ nghiêm trọng và khả năng bị khai thác, giúp đội ngũ bảo mật tập trung vào những vấn đề cấp bách nhất.
• Ngăn chặn sự cố: Cho phép hành động kịp thời để giảm thiểu phơi nhiễm, từ đó ngăn chặn các cuộc tấn công leo thang và gây ra hậu quả nghiêm trọng.

Triển Khai ASM Trong Chiến Lược An Ninh Mạng Hiện Đại

Để đối phó với những thay đổi trong chiến lược tấn công, các chuyên gia IT, quản lý bảo mật và những người ra quyết định cần tích hợp ASM vào chiến lược an ninh mạng tổng thể.

Việc triển khai ASM giúp xác định các đường dẫn tấn công ẩn, giảm thiểu phơi nhiễm và vận hành các hành động bảo mật trên mọi ngóc ngách của môi trường kỹ thuật số.

Các nền tảng ASM thường tích hợp thông tin tình báo về mối đe dọa mạng, cung cấp dữ liệu toàn diện giúp các tổ chức hiểu rõ hơn về các mối nguy hiểm tiềm ẩn.

Ví dụ, Criminal IP, nền tảng tình báo mối đe dọa mạng hàng đầu của AI SPERA, được sử dụng rộng rãi trên hơn 150 quốc gia.

Nền tảng này cung cấp khả năng hiển thị mối đe dọa toàn diện thông qua các giải pháp bảo mật doanh nghiệp như Criminal IP ASM và Criminal IP FDS. Criminal IP cũng hợp tác chiến lược với các đối tác lớn như Cisco, VirusTotal và Quad9.

Dữ liệu mối đe dọa của nền tảng này cũng có sẵn trên các marketplace kho dữ liệu lớn của Mỹ, bao gồm Amazon Web Services (AWS), Microsoft Azure và Snowflake, nâng cao khả năng tiếp cận thông tin tình báo chất lượng cao trên toàn cầu.