How long do APT attackers usually stay inside a system?

APT attackers can stay inside a system for weeks or even years. Their goal is to remain unnoticed for as long as possible so they can keep collecting data and watch how the organization operates.

Why are APT attacks so hard to detect?

Attacks like this are hard to detect because they use stealthy tactics like custom tools and normal-looking system activity. They embed their attacks into everyday network traffic.

Are APT groups connected to specific countries?

Many APT groups are believed to be linked to or supported by specific nation-states, while others are criminal groups that may work across borders. Public reports often use code names rather than naming countries directly.

How do APT attackers choose their victims?

They usually choose targets that hold valuable data or have access to important systems. It is more common to see government agencies and large companies targeted than unaffiliated individuals. Sometimes smaller organizations are targeted first because they provide a path into a larger network.

Tấn công dai dẳng nâng cao (APT) là gì?

Hình ảnh một hacker trùm mũ đang sử dụng máy tính xách tay bên cạnh một quả địa cầu kỹ thuật số với dòng chữ “Advanced Persistent Threat (APT)”, tượng trưng cho các cuộc tấn công mạng dài hạn và rủi ro an ninh mạng toàn cầu.

Tấn công dai dẳng nâng cao (APT) là một cuộc tấn công có chủ đích, trong đó những kẻ tấn công lành nghề xâm nhập vào mạng và ẩn mình trong thời gian dài.

Kẻ tấn công sử dụng nhiều công cụ kỹ thuật hiện đại kết hợp với khả năng ra quyết định của con người, và nhiều kẻ trong số đó rất giỏi nghiên cứu hệ thống để xâm nhập một cách lặng lẽ. trước khi chúng thu thập dữ liệu có giá trị.

Những điều bạn cần biết:

APT là một cuộc tấn công mạng có mục tiêu, kéo dài, sử dụng sự lén lút và người điều khiển. Các nhóm này tập trung vào việc duy trì quyền truy cập trong mạng hơn là gây ra thiệt hại nhanh chóng.
Kẻ tấn công dựa vào các chiến thuật như lừa đảo, khai thác lỗ hổng zero-day, kỹ thuật xã hội và các phương pháp hỗ trợ bởi trí tuệ nhân tạo (AI) để giành và duy trì quyền truy cập.
APT nhắm mục tiêu vào các tổ chức, nhưng cá nhân cũng có thể bị ảnh hưởng thông qua dữ liệu bị lộ hoặc thiết bị bị xâm phạm.
Các vụ vi phạm lớn thường bao gồm thông tin cá nhân mà kẻ tấn công tái sử dụng hoặc bán.
Các cuộc tấn công APT diễn ra theo từng giai đoạn và nhiều nhóm hiện đại hiện nay sử dụng AI để khôi phục quyền truy cập nếu người phòng thủ chặn được một phần cuộc tấn công.
Người dùng có thể giảm rủi ro bằng cách cập nhật thiết bị và sử dụng các thói quen bảo mật máy tính tốt và các công cụ bảo mật dựa trên hành vi.
Các trường hợp APT gần đây nêu bật các cuộc tấn công chuỗi cung ứng và kỹ thuật xã hội thực tế hơn.

APT có nghĩa là gì trong an ninh mạng?

Mối đe dọa dai dẳng nâng cao (APT) là một cuộc tấn công có mục tiêu, trong đó kẻ tấn công giành được quyền truy cập vào một hệ thống và duy trì quyền truy cập đó trong một thời gian dài.

Thuật ngữ "nâng cao" đề cập đến các công cụ và kỹ thuật được sử dụng để xâm nhập. Các lỗ hổng bảo mật chưa được vá (zero-day exploits) , phần mềm độc hại tùy chỉnh và các phương pháp hỗ trợ bởi trí tuệ nhân tạo (AI) đều là những ví dụ về các phương pháp mà kẻ lừa đảo sử dụng. Kiên trì" (persistent) có nghĩa là kẻ tấn công không rời đi sau khi đã xâm nhập. Chúng tiếp tục giám sát hệ thống và khôi phục quyền truy cập nếu người phòng thủ chặn chúng. Chúng điều chỉnh và phát triển phương pháp tiếp cận của mình khi cần thiết.

Các cuộc tấn công APT hiện đại không hoàn toàn tự động. Người điều khiển hướng dẫn cuộc tấn công và phản ứng với các biện pháp phòng thủ để có cách tiếp cận mục tiêu hơn. AI đóng vai trò ngày càng quan trọng bằng cách cho phép kẻ tấn công di chuyển nhanh hơn và duy trì sự hiện diện với ít nỗ lực hơn. Nó cũng có thể giúp chúng che giấu danh tính và tránh bị phát hiện.

Các mô tả kinh điển về APT trong an ninh mạng thường liệt kê năm giai đoạn nhưng các bước này tiếp tục phát triển. Các cuộc tấn công mới hơn bổ sung khả năng duy trì sự hiện diện dựa trên AI thông qua tự động hóa và các phương pháp điều khiển và chỉ huy linh hoạt cũng có thể cho phép kẻ tấn công duy trì vị trí ngay cả khi một phần hoạt động của chúng bị phát hiện.

Tại sao yếu tố con người lại quan trọng

Hầu hết các cuộc tấn công APT bắt đầu bằng việc ai đó bị lừa. Kỹ thuật xã hội tạo ra kẽ hở cho kẻ tấn công và nó vẫn là một trong những cách đáng tin cậy nhất để giành quyền truy cập.

Ngay cả những hệ thống phòng thủ kỹ thuật mạnh mẽ nhất cũng có thể bị phá vỡ nếu kẻ tấn công thuyết phục được một người nhấp vào liên kết hoặc tiết lộ một mẩu thông tin nhỏ.

Các chiến thuật hiện đại ngày càng tinh vi hơn và không còn nhắm mục tiêu quá rộng. Các tin nhắn lừa đảo có chủ đích (spear phishing) hiện nay sử dụng thông tin doanh nghiệp thực hoặc các chuỗi email bị đánh cắp. Văn bản do AI tạo ra có thể khiến chúng trông xác thực và chuyên nghiệp.

Kỹ thuật mồi nhử cũng đã phát triển. Kẻ tấn công có thể sử dụng các trang đăng nhập đám mây giả mạo và các thông báo khẩn cấp bắt chước các hệ thống nội bộ. Những kỹ thuật này khiến người dùng khó phát hiện ra bẫy, đặc biệt khi các tin nhắn trông rất thuyết phục như đến từ một đồng nghiệp hoặc đối tác đáng tin cậy.

Quyết định của con người định hình giai đoạn đầu của nhiều cuộc xâm nhập APT. Một khoảnh khắc mất tập trung hoặc một tin nhắn lừa đảo được soạn thảo tốt có thể cung cấp cho kẻ tấn công quyền truy cập cần thiết để xâm nhập vào mạng.

Một cuộc tấn công APT hoạt động như thế nào?

Một cuộc tấn công APT diễn ra theo một loạt các giai đoạn cho phép kẻ tấn công xâm nhập vào mạng và hoạt động mà không gây chú ý. Hầu hết các cuộc tấn công đều tuân theo một mô hình quen thuộc:

Giai đoạn một: Giành quyền truy cập

Truy cập là bước đầu tiên. Tội phạm mạng thường xâm nhập thông qua mạng, tệp bị nhiễm, email rác hoặc lỗ hổng ứng dụng để chèn phần mềm độc hại vào mạng mục tiêu. Các kỹ thuật hiện đại có nghĩa là giai đoạn này thường được tự động hóa. Kẻ tấn công tự động hóa, kiểm tra nhiều điểm xâm nhập cùng một lúc và điều chỉnh phương pháp của chúng khi các công cụ bảo mật chặn một nỗ lực.

Giai đoạn hai: Thiết lập chỗ đứng

Tội phạm mạng cài đặt phần mềm độc hại cho phép tạo ra một mạng lưới các cửa hậu và đường hầm được sử dụng để di chuyển trong hệ thống mà không bị phát hiện. Phần mềm độc hại thường sử dụng các kỹ thuật như viết lại mã để giúp tin tặc che giấu dấu vết của chúng.

Các điểm xâm nhập hiện đại được thiết kế để tồn tại sau các nỗ lực gỡ bỏ và có thể tự động cài đặt lại. Một số chuyển sang các đường dẫn truy cập mới khi người bảo vệ can thiệp.

Giai đoạn Ba: Tăng cường quyền truy cập

Sau khi xâm nhập, tin tặc sử dụng các kỹ thuật như bẻ khóa mật khẩu để có được quyền quản trị viên, từ đó chúng có thể kiểm soát nhiều hơn hệ thống và có được mức độ truy cập cao hơn nữa. Quá trình này hiện cũng có thể được hướng dẫn bởi các công cụ và tập lệnh tự động lập bản đồ quyền và nhanh chóng thích ứng nếu quyền truy cập bị hạn chế hoặc giám sát. Điều này khiến việc tìm ra kẻ tấn công trở nên khó khăn hơn.

Giai đoạn Bốn: Di chuyển ngang

Sâu hơn bên trong hệ thống với quyền quản trị viên, tin tặc có thể di chuyển tùy ý. Chúng cũng có thể cố gắng truy cập các máy chủ khác và các phần bảo mật khác của mạng. Đây là một lĩnh vực khác mà ngày càng nhiều kẻ lừa đảo đã tự động hóa để cố gắng giành được chỗ đứng rộng hơn và hiểu biết sâu hơn về hệ thống.

Giai đoạn Năm: Quan sát, Học hỏi và Duy trì

Sau khi xâm nhập vào hệ thống, kẻ tấn công xây dựng sự hiểu biết chi tiết về cách thức hoạt động của nó và các điểm yếu của nó. Điều này cho phép chúng âm thầm thu thập thông tin mà chúng cần. Đồng thời, chúng thích nghi với các biện pháp bảo mật và sử dụng các kỹ thuật ẩn nấp tiên tiến để tồn tại trong hệ thống càng lâu càng tốt.

Bảo vệ chống lại APT

Các mối đe dọa dai dẳng nâng cao (APT) được thiết kế để ẩn mình và thích nghi theo thời gian. Các công cụ bảo mật dựa trên bảo vệ dựa trên hành vi và trí tuệ nhân tạo (AI) có thể giúp phát hiện hoạt động bất thường từ sớm và giảm nguy cơ truy cập lâu dài.

Khám phá danh mục sản phẩm Kaspersky Enterprise

Làm thế nào kẻ tấn công có thể đột nhập và giành quyền kiểm soát?

Các nhóm APT thường bắt đầu bằng cách tìm ra một điểm yếu duy nhất và từ từ khai thác nó. Đó có thể là một lỗ hổng trong hệ thống của công ty, thiết bị cá nhân hoặc dịch vụ trực tuyến mà mọi người sử dụng hàng ngày.

Phương pháp của chúng ngày càng trở nên thuyết phục hơn. Khai thác lỗ hổng zero-day lợi dụng một lỗ hổng phần mềm chưa được khắc phục và có thể ảnh hưởng đến cả phần mềm doanh nghiệp và ứng dụng người tiêu dùng. Các cuộc tấn công "lỗ nước" liên quan đến việc lây nhiễm các trang web mà một số nhóm người dùng thường xuyên truy cập. Việc dụ dỗ cũng đã phát triển và hiện nay thường bao gồm các trang đăng nhập đám mây giả mạo hoặc các lời nhắc hệ thống khẩn cấp trông giống thật và được thiết kế để đánh lừa cả nhân viên và người dùng cá nhân.

Nhiều cuộc tấn công APT không bắt đầu với mục tiêu chính. Thay vào đó, kẻ tấn công thường đột nhập vào các nhà cung cấp dịch vụ nhỏ hơn hoặc các công cụ phần mềm được sử dụng rộng rãi trước tiên. Từ đó, chúng có thể tiếp cận cả các tổ chức và người dùng cá nhân dựa vào các dịch vụ đó, đặc biệt là khi tài khoản hoặc thiết bị công việc và cá nhân được kết nối.

Kẻ tấn công thường tạo chỗ đứng bằng cách cài đặt cửa hậu hoặc shell từ xa. Những công cụ này giúp chúng kết nối lại với hệ thống bất cứ khi nào chúng muốn và chặn các nỗ lực xóa quyền truy cập của chúng. Sau đó, những kẻ lừa đảo thường tìm cách mở rộng quyền truy cập bằng cách khai thác các lỗ hổng nội bộ trong hệ thống. Chúng cũng nâng cao đặc quyền của mình để giành quyền kiểm soát nhiều hệ thống hơn.

Cách kẻ tấn công di chuyển, ẩn nấp và duy trì quyền truy cập lâu dài

Khi kẻ tấn công có quyền truy cập mạnh hơn, chúng bắt đầu khám phá các hệ thống, tài khoản và công cụ liên lạc được kết nối trong khi vẫn ẩn mình. Điều này có thể bao gồm các máy chủ doanh nghiệp, dịch vụ đám mây hoặc thậm chí cả mạng gia đình và cá nhân được kết nối thông qua các thiết bị công việc hoặc tài khoản dùng chung.

Mục tiêu của chúng là hiểu cách môi trường hoạt động và cách chúng có thể không bị phát hiện trong khi gây hại. Điều này cho chúng nhiều thời gian hơn để truy cập thông tin cá nhân, tài khoản người dùng được kết nối và các dữ liệu nhạy cảm khác liên quan đến cả tổ chức và cá nhân.

Kẻ tấn công dựa vào các kỹ thuật để lại rất ít dấu vết. Chúng có thể thay đổi nhật ký hoặc đôi khi sử dụng phần mềm độc hại không cần tệp tin tinh vi chạy trong bộ nhớ. Một số định tuyến liên lạc của chúng thông qua các kênh được mã hóa được thiết kế để hòa lẫn với lưu lượng truy cập thông thường. Chúng ta cũng đã thấy việc sử dụng khả năng duy trì quyền truy cập được hỗ trợ bởi trí tuệ nhân tạo (AI) có thể thay đổi hành vi khi các công cụ bảo mật phản ứng và khôi phục quyền truy cập nếu bị xóa.

Các biện pháp phòng thủ tốt nhất cũng đang sử dụng trí tuệ nhân tạo (AI) và máy học để chống lại chúng. Những công cụ này tìm kiếm hành vi bất thường trong các tài khoản và mạng trực tuyến của bạn và có thể phát hiện các kiểu đăng nhập hoặc hoạt động dữ liệu không phù hợp với cách sử dụng thông thường của bạn. Điều này rất quan trọng vì nhiều cuộc tấn công nâng cao không dựa vào phần mềm độc hại dễ nhận biết. Chúng hòa nhập và chờ đợi.

Từ góc độ an ninh cá nhân, điều này có nghĩa là các biện pháp bảo vệ hiện đại tập trung vào việc giảm thiểu rủi ro ngay từ đầu thay vì chỉ phản ứng sau khi có sự cố xảy ra. Các công cụ bảo mật có thể phát hiện các dấu hiệu cảnh báo nhỏ và hạn chế quyền truy cập trước khi kẻ tấn công có thời gian tiến xa hơn hoặc duy trì kết nối.

Các biện pháp phòng thủ APT tiếp tục phát triển

Một số biện pháp phòng thủ vẫn đang được phát triển. Mã hóa chống lượng tử là một phương pháp mới nổi được thiết kế để bảo vệ dữ liệu nhạy cảm khỏi các phương pháp tấn công trong tương lai có thể phá vỡ các tiêu chuẩn mã hóa hiện nay. Mặc dù đây không phải là điều mà hầu hết người tiêu dùng cần tự thiết lập, nhưng nó ngày càng được các nhà cung cấp dịch vụ sử dụng ngầm để tăng cường bảo vệ dữ liệu lâu dài.

Các sự cố gần đây cho thấy các phương pháp APT đang phát triển nhanh chóng như thế nào và định nghĩa về mối đe dọa dai dẳng nâng cao (APT) tiếp tục thay đổi theo công nghệ. Các cuộc tấn công gần đây hơn đã sử dụng các bản cập nhật phần mềm độc hại và thậm chí cả âm thanh giả mạo (deepfake audio) để thực hiện kỹ thuật xã hội. Một số người lo ngại về các kỹ thuật “sinh sống dựa vào đất đai” mới, dựa vào các công cụ hợp pháp trong mạng lưới. Mỗi trường hợp đều cho thấy các nhóm này có thể linh hoạt và kiên nhẫn đến mức nào.

Ngay cả khi một chiến dịch APT dường như đã bị vô hiệu hóa, mối đe dọa có thể vẫn chưa biến mất. Kẻ tấn công thường để lại các cửa hậu ẩn và các phần mềm độc hại thứ cấp cho phép chúng quay lại sau này. Hiểu được toàn bộ vòng đời của một cuộc tấn công APT giúp các tổ chức và cá nhân hiểu được loại mối đe dọa mà chúng gây ra.

Kẻ tấn công các mối đe dọa dai dẳng nâng cao (APT) là ai?

Các cuộc tấn công APT thường được thực hiện bởi các nhóm lớn và có nguồn lực dồi dào chứ không phải là các hacker đơn lẻ.

Nhiều cuộc tấn công có liên quan đến các chương trình của nhà nước, nơi chính phủ tài trợ cho các hoạt động mạng dài hạn để thu thập thông tin tình báo hoặc giành lợi thế chiến lược.

Cũng có những tác nhân lai ghép làm mờ ranh giới giữa các nhóm được chính phủ hậu thuẫn và các mạng lưới tội phạm. Ngoài ra còn có các nhóm tội phạm mạng có tổ chức có thể sử dụng các chiến thuật kiểu APT (trong số nhiều chiến thuật khác) để đánh cắp dữ liệu hoặc tống tiền.

Những kẻ tấn công này thường tập trung vào các ngành công nghiệp hỗ trợ các dịch vụ quan trọng hoặc lưu trữ một lượng lớn dữ liệu nhạy cảm.

Tại sao họ phát động các chiến dịch APT

Các nhóm APT không giống nhau – họ thực hiện các chiến dịch vì những lý do khác nhau.

Một số tập trung vào hoạt động gián điệp và giám sát dài hạn như một phần của lợi ích chính trị. Những nhóm khác nhắm đến lợi ích tài chính trong ngắn hạn. Điểm chung của chúng là sự kiên nhẫn và kế hoạch. Các cuộc tấn công này được thiết kế để mang lại giá trị theo thời gian, chứ không phải là những chiến thắng nhanh chóng.

Các cuộc tấn công APT có ảnh hưởng đến người dân bình thường không?

Tác động của APT thường ảnh hưởng đến người dùng hàng ngày như một phần của các vụ vi phạm lớn hơn nhiều. Chúng cũng có thể tấn công những người có liên hệ với các tổ chức.

Làm thế nào các cá nhân trở thành nạn nhân gián tiếp

Khi tin tặc xâm nhập vào một công ty hoặc dịch vụ công cộng, chúng thường có được quyền truy cập vào rất nhiều hồ sơ cá nhân. Ngay cả khi bạn không phải là mục tiêu nhắm đến, thông tin của bạn vẫn có thể bị lộ. Điều quan trọng cần lưu ý là

Thiết bị cá nhân có thể tạo điều kiện cho các cuộc tấn công như thế nào

Thiết bị cá nhân và thiết bị làm việc thường được sử dụng làm điểm xâm nhập. Một máy tính xách tay hoặc mạng gia đình bị xâm nhập có thể tạo điều kiện cho tin tặc xâm nhập vào môi trường lớn hơn khi các thiết bị kết nối với hệ thống của công ty. Khi ngày càng nhiều hộ gia đình dựa vào các thiết bị kết nối, những điểm yếu trong bảo mật gia đình cũng có thể khiến các hệ thống nhà thông minh, mạng cá nhân và tài khoản được liên kết dễ bị tấn công trên diện rộng.

Những dấu hiệu mà người dùng thông thường có thể nhận thấy

Hoạt động APT thường rất tinh vi. Nhưng một số dấu hiệu có thể xuất hiện. Chúng có thể bao gồm cảnh báo đăng nhập bất ngờ, hoạt động tài khoản bất thường và thiết bị chạy chậm hơn bình thường. Bạn cũng nên cảnh giác với các nỗ lực lừa đảo lặp đi lặp lại có vẻ được cá nhân hóa cao.

Bỏ qua các dấu hiệu cảnh báo rõ ràng có thể cho tin tặc thêm thời gian để ẩn náu và thậm chí làm tăng nguy cơ chiếm đoạt tài khoản lâu dài hoặc lộ dữ liệu trên diện rộng.

APT khác với phần mềm độc hại thông thường như thế nào?

APT không phải là một cuộc tấn công nhanh chóng hoặc dàn trải. Nó được nhắm mục tiêu và thiết kế để hoạt động lén lút và ẩn mình trong thời gian dài.

Phần mềm độc hại thông thường thường lây lan rộng rãi và gây thiệt hại ngay lập tức, nhưng các nhóm APT lại chọn nạn nhân cụ thể và hoạt động một cách chi tiết và chính xác để tránh bị phát hiện. Trên thực tế, chúng hoàn toàn trái ngược với một số phương pháp phát tán phần mềm độc hại bừa bãi.

Các cuộc tấn công ransomware có thể là một hình thức của APT (Advanced Persistent Threat) và nhằm mục đích khóa các tập tin và yêu cầu thanh toán trong vòng vài giờ. Các tác nhân APT thích truy cập âm thầm để có thể nghiên cứu hệ thống và thu thập dữ liệu có giá trị trong nhiều tuần hoặc nhiều tháng. Chúng lợi dụng khả năng ra quyết định của con người và các kỹ thuật thay đổi khi người phòng thủ phản ứng. Mức độ kiểm soát này phân biệt chúng với phần mềm độc hại cơ bản tuân theo một kịch bản cố định.

Làm thế nào để phát hiện mối đe dọa dai dẳng nâng cao (APT)

Việc phát hiện APT trở nên khó khăn hơn bởi vì hoạt động này được thiết kế để hòa nhập vào hành vi bình thường. Điều đó không có nghĩa là nó luôn hoạt động hoàn hảo hoặc không thể phát hiện được và nhiều dấu hiệu vẫn có thể cảnh báo trước cho bạn. Hãy cảnh giác với các hành vi bất thường:

Các tập tin được truy cập vào những thời điểm bất thường
Chuyển dữ liệu bất ngờ hoặc không giải thích được
Tài khoản đăng nhập từ các vị trí không quen thuộc
Hiệu suất thiết bị chậm hơn
Sử dụng mạng cao
Cài đặt thay đổi mà không có sự can thiệp của bạn cũng có thể là dấu hiệu của sự cố

Bạn cũng nên kiểm tra các ứng dụng hoặc tác vụ nền không quen thuộc mà bạn không cài đặt. Giám sát các tập tin và cấu hình quan trọng có thể giúp bạn nhận thấy những thay đổi nhỏ từ sớm, trước khi kẻ tấn công lan rộng hơn.

Phần mềm chống vi-rút và tường lửa truyền thống phụ thuộc rất nhiều vào các chữ ký phần mềm độc hại đã biết. Các công cụ bảo mật của chúng tôi đã chuyển sang hướng giám sát dựa trên hành vi và trí tuệ nhân tạo, tập trung tìm kiếm các hành động bất thường thay vì chỉ quét các mối đe dọa quen thuộc.

Khả năng phát hiện mối đe dọa chuyên nghiệp và kiểm tra, loại bỏ virus chuyên nghiệp của Kaspersky có thể giúp bảo vệ người dùng và loại bỏ mọi mối đe dọa đã vượt qua hàng rào phòng thủ.

Cảnh báo bảo mật và giám sát tài khoản

Bật cảnh báo đăng nhập cho các tài khoản quan trọng nhất của bạn để cảnh báo nếu ai đó cố gắng truy cập vào tài khoản của bạn. Kiểm tra nhật ký hoạt động trong tất cả các tài khoản và công cụ trực tuyến của bạn để xác nhận rằng chỉ bạn mới đang đăng nhập. Những cảnh báo này có thể giúp bạn nhận được cảnh báo sớm nếu ai đó cố gắng sử dụng thông tin đăng nhập bị đánh cắp.

Công cụ phát hiện hữu ích

Sử dụng phần mềm bảo mật tiên tiến theo dõi hành vi đáng ngờ, không chỉ các chữ ký phần mềm độc hại đã biết. Các công cụ dựa trên hành vi và trí tuệ nhân tạo có thể phát hiện các bất thường sớm hơn và ngăn chặn kẻ tấn công xâm nhập sâu hơn vào hệ thống của bạn.

Luôn bật cập nhật tự động để thiết bị của bạn có các biện pháp bảo vệ mới nhất chống lại các kỹ thuật APT mới. Các công cụ của Kaspersky cũng có thể bảo vệ bạn khỏi các trang web và email giả mạo do tội phạm mạng tạo ra để đánh cắp danh tính và tiền bạc của bạn.

Làm thế nào để cá nhân tự bảo vệ mình trước các chiến thuật APT?

Cập nhật phần mềm thường xuyên, xác thực đa yếu tố, mật khẩu mạnh và nâng cao nhận thức về lừa đảo trực tuyến sẽ loại bỏ nhiều lỗ hổng mà các nhóm này dựa vào.

Ngay cả một lần tấn công bị chặn cũng có thể ngăn chặn kẻ tấn công giành được quyền truy cập cần thiết để xâm nhập sâu hơn vào mạng. Mặc dù các cuộc tấn công này thường nhắm vào các tổ chức lớn, nhưng thói quen cá nhân vẫn rất quan trọng. Cần có các biện pháp phòng thủ mạnh mẽ trên diện rộng. Thiết bị gia đình, tài khoản email cá nhân và mật khẩu được sử dụng lại thường là mắt xích yếu nhất mà kẻ tấn công khai thác để tiếp cận các hệ thống lớn hơn.

Sử dụng phần mềm bảo mật hiện đại giúp giảm thiểu rủi ro. Các công cụ hiện nay tập trung ít hơn vào việc phát hiện phần mềm độc hại đã biết và tập trung nhiều hơn vào việc hạn chế hành vi đáng ngờ và ngăn chặn các thay đổi trái phép. Điều này giúp giảm thiểu rủi ro theo thời gian, thay vì chỉ phản ứng sau khi thiệt hại đã xảy ra.

Các phương pháp bảo vệ mới hơn cũng đang xuất hiện nhờ những tiến bộ công nghệ. Một số nền tảng hiện sử dụng tính năng theo dõi dựa trên blockchain để tạo ra các bản ghi chống giả mạo về hoạt động hệ thống và thay đổi tệp. Bằng cách ghi nhật ký các sự kiện theo cách không thể bị thay đổi một cách âm thầm, các hệ thống này khiến kẻ tấn công khó che giấu các thay đổi hoặc viết lại lịch sử sau khi giành được quyền truy cập. Những kỹ thuật này khiến kẻ tấn công khó thay đổi tệp hoặc che giấu hoạt động của chúng.

Phải làm gì nếu nghi ngờ bị xâm phạm?

Nếu bạn tin rằng thiết bị hoặc tài khoản của mình đã bị xâm phạm, điều quan trọng nhất là phải hành động nhanh chóng.

Trước tiên, hãy ngắt kết nối khỏi mạng. Hãy thay đổi mật khẩu của bạn từ một thiết bị an toàn và xem lại hoạt động tài khoản để tìm các lần đăng nhập hoặc cài đặt lạ. Chạy quét bảo mật toàn diện bằng phần mềm có thể phát hiện hành vi bất thường và các mối đe dọa hiện đại thực sự .

Nếu sự cố cứ tiếp diễn, hoặc nếu các tài khoản nhạy cảm bị truy cập, điều quan trọng là phải hiểu rằng những kẻ tấn công tinh vi có thể đã để lại các cửa hậu ẩn. Những cửa hậu này cho phép chúng lấy lại quyền truy cập ngay cả sau khi một số vấn đề dường như đã được khắc phục.

Trong trường hợp vẫn còn dấu hiệu xâm nhập lặp đi lặp lại, việc xóa sạch dữ liệu trên thiết bị và cài đặt lại hệ điều hành có thể là lựa chọn an toàn nhất. Điều này có thể loại bỏ các công cụ ẩn khó phát hiện và có thể tiếp tục đe dọa an ninh của bạn.

Thói quen an ninh mạng tốt vẫn rất quan trọng. Bật xác thực đa yếu tố bất cứ khi nào có thể để được bảo vệ. Xem lại hoạt động tài khoản để tìm các lần đăng nhập hoặc tùy chọn khôi phục mà bạn không nhận ra.

Các ví dụ APT gần đây cho thấy cách thức hoạt động của các cuộc tấn công này

Đây không phải là mối đe dọa trừu tượng. Các sự cố APT gần đây cho thấy rõ ràng cách thức những kẻ tấn công thực sự di chuyển âm thầm trong mạng.

Các sự cố lớn kể từ năm 2020

Solar Winds:

Một trong những trường hợp được bàn luận nhiều nhất là vụ tấn công SolarWinds Orion năm 2020 khi những kẻ tấn công được phát hiện “đã có thể thêm một sửa đổi độc hại vào các sản phẩm SolarWinds Orion cho phép chúng gửi các lệnh cấp quản trị viên đến bất kỳ cài đặt nào bị ảnh hưởng”.

Khi khách hàng cài đặt bản cập nhật đó, họ đã vô tình cung cấp cho những kẻ tấn công quyền truy cập từ xa vào mạng nội bộ của họ. Kẻ tấn công lựa chọn nạn nhân để xâm nhập sâu hơn và sử dụng các công cụ bổ sung để mở rộng quyền truy cập và duy trì sự hiện diện.

MOVEit:

Gần đây hơn nữa, vụ rò rỉ dữ liệu MOVEit năm 2023 đã làm nổi bật rủi ro của các công cụ truyền tải tệp được quản lý. Một nhóm ransomware đã khai thác lỗ hổng zero-day trong phần mềm MOVEit để cài đặt web shell trên các máy chủ bị phơi nhiễm, sau đó âm thầm đánh cắp dữ liệu từ hàng nghìn tổ chức trước khi vấn đề được công khai.

Những sự cố này dạy cho người tiêu dùng điều gì

Chúng cho thấy rằng những kẻ tấn công không phải lúc nào cũng nhắm trực tiếp vào cá nhân. Chúng thường xâm nhập vào các nhà cung cấp phần mềm hoặc dịch vụ đáng tin cậy, sau đó sử dụng vị trí đó để tiếp cận nhiều tổ chức cùng một lúc.

Tương tự, chúng cũng cho thấy cách thức hoạt động của sự duy trì nhiều giai đoạn trong thực tế. Những ví dụ này cho thấy những kẻ tấn công đã cài đặt cửa hậu hoặc sử dụng web shell ẩn. Chúng di chuyển qua các hệ thống để tìm kiếm thông tin có giá trị.

Bài học cho người dùng hàng ngày rất đơn giản: bạn phụ thuộc vào nhiều hệ thống hơn là những hệ thống bạn sở hữu . Thói quen bảo mật cá nhân mạnh mẽ và hành động nhanh chóng khi bạn nhận được thông báo sự cố đều giúp giảm rủi ro cho dữ liệu của bạn theo thời gian.

Các bài viết liên quan:

Các sản phẩm liên quan:

Câu hỏi thường gặp

Kẻ tấn công APT thường ở lại trong hệ thống bao lâu?

Các tin tặc APT có thể ẩn náu trong hệ thống hàng tuần hoặc thậm chí hàng năm. Mục tiêu của chúng là không bị phát hiện càng lâu càng tốt để có thể tiếp tục thu thập dữ liệu và theo dõi cách thức hoạt động của tổ chức.

Tại sao các cuộc tấn công APT lại khó phát hiện đến vậy?

Các cuộc tấn công kiểu này rất khó phát hiện vì chúng sử dụng các chiến thuật lén lút như công cụ tùy chỉnh và hoạt động hệ thống trông bình thường. Chúng nhúng các cuộc tấn công của mình vào lưu lượng mạng hàng ngày.

Các nhóm APT có liên kết với các quốc gia cụ thể không?

Nhiều nhóm APT được cho là có liên kết hoặc được hỗ trợ bởi các quốc gia cụ thể, trong khi những nhóm khác là các nhóm tội phạm có thể hoạt động xuyên biên giới. Các báo cáo công khai thường sử dụng tên mã thay vì nêu tên quốc gia trực tiếp.

Kẻ tấn công APT lựa chọn nạn nhân như thế nào?

Chúng thường chọn các mục tiêu nắm giữ dữ liệu có giá trị hoặc có quyền truy cập vào các hệ thống quan trọng. Việc các cơ quan chính phủ và các công ty lớn bị nhắm mục tiêu phổ biến hơn so với các cá nhân không liên kết. Đôi khi các tổ chức nhỏ hơn bị nhắm mục tiêu trước tiên vì chúng cung cấp con đường xâm nhập vào mạng lưới lớn hơn.