Xin chào. Bạn đã đến trang lưu trữ. Nội dung và liên kết trên trang này không còn được cập nhật. Bạn đang tìm kiếm dịch vụ? Vui lòng quay lại trang chủ của chúng tôi.
Tháng 9 2020 - Phần mềm độc hại, tên miền độc hại và nhiều hơn nữa: Tội phạm mạng tấn công các tổ chức SLTT như thế nào
Sổ tay SLTT của tội phạm mạng
Mặc dù phần mềm độc hại có nhiều loại, loại được sử dụng phổ biến nhất để chống lại các tổ chức SLTT là phần mềm tống tiền. Phần mềm tống tiền là một loại phần mềm độc hại chặn quyền truy cập vào hệ thống, thiết bị hoặc tệp cho đến khi tiền chuộc được trả. Phần mềm tống tiền DOE điều này bằng cách mã hóa các tệp trên điểm cuối, đe dọa xóa tệp hoặc chặn quyền truy cập hệ thống. Điều này có thể đặc biệt nguy hiểm khi các cuộc tấn công bằng phần mềm tống tiền ảnh hưởng đến bệnh viện, trung tâm cuộc gọi khẩn cấp và các cơ sở hạ tầng quan trọng khác. Báo cáo điều tra vi phạm dữ liệu Verizon năm 2020 (DBIR) phát hiện ra rằng phần mềm tống tiền ảnh hưởng không cân xứng đến khu vực công (hơn 60% sự cố phần mềm độc hại so với 27% phần mềm độc hại trong tất cả các lĩnh vực). Ngoài ra, các sự cố được Trung tâm phân tích và chia sẻ thông tin đa quốc gia (MS-ISAC) quan sát cho thấy các cuộc tấn công bằng phần mềm tống tiền SLTT tăng 153% từ tháng 1 2018 đến tháng 12 2019. Vào 2019, có hơn 100 vụ tấn công bằng phần mềm tống tiền được công khai nhằm vào các tổ chức SLTT – bao gồm một vụ tấn công vào hệ thống IT của Thành phố Baltimore đã khóa hàng nghìn máy tính và làm gián đoạn hầu hết mọi dịch vụ của thành phố. Cuộc tấn công này ước tính đã gây thiệt hại cho thành phố tới 18 triệu đô la. Các loại phần mềm độc hại phổ biến khác ảnh hưởng đến các tổ chức SLTT bao gồm:
- Trojan là phần mềm độc hại có vẻ như là ứng dụng hoặc phần mềm hợp pháp có thể cài đặt được. Trojan có thể cung cấp cửa hậu cho kẻ tấn công và sau đó truy cập toàn bộ vào thiết bị, cho phép kẻ tấn công đánh cắp thông tin ngân hàng và thông tin nhạy cảm hoặc tải xuống phần mềm độc hại bổ sung. Những phát hiện từ 2020 Verizon DBIR cho thấy các biến thể trojan liên quan đến hơn 50% các sự cố phần mềm độc hại trong khu vực công.
- Trình tải xuống hoặc Dropper là phần mềm độc hại, ngoài các hành động gây hại của chính chúng, còn cho phép các phần mềm độc hại khác, thường nguy hiểm hơn, xâm nhập vào hệ thống bị nhiễm. Dữ liệu do 2020 Verizon DBIR thu thập cho thấy gần 25% các sự cố trong khu vực công liên quan đến trình tải xuống hoặc trình thả tệp.
- Phần mềm gián điệp là phần mềm độc hại ghi lại các lần nhấn phím, nghe lén qua micrô của máy tính, truy cập webcam hoặc chụp ảnh màn hình và gửi thông tin cho kẻ xấu. Loại phần mềm độc hại này có thể cung cấp cho kẻ tấn công quyền truy cập vào tên người dùng, mật khẩu, bất kỳ thông tin nhạy cảm nào khác được nhập bằng bàn phím hoặc hiển thị trên màn hình và thông tin có khả năng xem được qua webcam. Keylogger, chủ yếu ghi lại các lần nhấn phím, là loại phần mềm gián điệp phổ biến nhất và ZeuS, keylogger nổi tiếng nhất, đã nằm trong danh sách Phần mềm độc hại hàng đầu 10 của MS-ISAC trong nhiều năm.
- Click Fraud là phần mềm độc hại tạo ra các lượt nhấp chuột tự động giả mạo vào các trang web chứa đầy quảng cáo. Những quảng cáo này tạo ra doanh thu khi có người nhấp vào. Càng nhiều lượt nhấp, doanh thu tạo ra càng nhiều. Kovter, một trong những phiên bản gian lận nhấp chuột phổ biến nhất, đã nằm trong danh sách Phần mềm độc hại 10 hàng đầu của MS-ISAC trong vài năm qua.
Bảo vệ tổ chức của bạn khỏi phần mềm độc hại
Phần mềm độc hại thường xâm nhập vào các tổ chức SLTT thông qua thư rác, email không mong muốn hướng người dùng đến các trang web độc hại hoặc lừa người dùng tải xuống hoặc mở phần mềm độc hại hoặc quảng cáo độc hại, phần mềm độc hại được đưa vào thông qua các quảng cáo độc hại. Điểm chung giữa các vectơ này và nhiều loại phần mềm độc hại khác mà chúng có thể đưa vào hệ thống IT của tổ chức bạn là chúng hầu như luôn liên quan đến người dùng hoặc phần mềm độc hại mà họ vô tình tải xuống kết nối đến các tên miền web độc hại.
Để giúp các tổ chức SLTT tự bảo vệ mình khỏi các loại tấn công mạng phổ biến này, Trung tâm An ninh Internet (CIS) đang hợp tác thông qua MS-ISAC và Trung tâm Phân tích và Chia sẻ Thông tin Cơ sở hạ tầng Bầu cử (EI-ISAC) với Cơ quan An ninh Cơ sở hạ tầng An ninh mạng (CISA) thuộc Bộ An ninh Nội địa Hoa Kỳ (DHS) và Akamai để cung cấp dịch vụ Báo cáo và Chặn tên miền độc hại (MDBR) mới miễn phí cho các thành viên chính phủ SLTT của Hoa Kỳ tại MS và EI-ISAC. Dịch vụ này cho phép các nhóm bảo mật SLTT nhanh chóng thêm một lớp bảo vệ an ninh mạng bổ sung để chống lại các hệ thống của họ kết nối với các tên miền web độc hại và tăng cường khả năng phòng thủ mạng hiện có.
Đối với các tổ chức không đủ điều kiện tham gia MS hoặc EI-ISAC, có thể nhận được sự bảo vệ tương tự thông qua Quad9. Quad9 là nền tảng DNS anycast đệ quy miễn phí, cung cấp cho người dùng cuối khả năng bảo mật mạnh mẽ, hiệu suất cao và quyền riêng tư. Quad9 được phát triển bởi Liên minh An ninh mạng Toàn cầu (GCA), một tổ chức phi lợi nhuận quốc tế được thành lập bởi sự hợp tác giữa các tổ chức thực thi pháp luật và nghiên cứu, tập trung vào việc chống lại rủi ro mạng có hệ thống theo những cách thực tế và có thể đo lường được (CIS là tổ chức sáng lập của GCA).
Giới thiệu về Chặn và Báo cáo Tên miền Độc hại (MDBR)
Dịch vụ MDBR chỉ dành cho các thành viên của MS và EI-ISAC. Đối với những người không đủ điều kiện làm thành viên, vui lòng xem phần bên dưới trên Quad9 để biết dịch vụ tương tự dành cho Công chúng.
MDBR chủ động chặn lưu lượng mạng từ một tổ chức đến các tên miền web độc hại đã biết, giúp bảo vệ hệ thống IT khỏi các mối đe dọa an ninh mạng và hạn chế các bệnh nhiễm trùng liên quan đến phần mềm độc hại, phần mềm tống tiền, lừa đảo và các mối đe dọa mạng khác. Khả năng này có thể chặn phần lớn các trường hợp nhiễm ransomware chỉ bằng cách ngăn chặn sự tiếp cận ban đầu tới miền phát tán ransomware. Chỉ trong năm tuần đầu tiên cung cấp dịch vụ, dịch vụ MDBR đã chặn 10 triệu yêu cầu độc hại từ hơn 300 thực thể SLTT.
Khi một tổ chức trỏ yêu cầu hệ thống tên miền (DNS) của mình tới địa chỉ IP máy chủ DNS của Akamai, mọi tìm kiếm DNS sẽ được so sánh với danh sách các miền độc hại đã biết hoặc nghi ngờ. Các nỗ lực truy cập vào các miền độc hại đã biết, chẳng hạn như các miền liên quan đến phần mềm độc hại, lừa đảo hoặc phần mềm tống tiền, sẽ bị chặn và ghi lại.
Akamai cung cấp tất cả dữ liệu đã ghi nhật ký cho Trung tâm điều hành bảo mật (SOC) của MS và EI-ISAC, bao gồm cả các yêu cầu DNS thành công và bị chặn. SOC sử dụng dữ liệu này để thực hiện phân tích và báo cáo chi tiết nhằm cải thiện cộng đồng SLTT, cũng như các dịch vụ báo cáo và tình báo thường xuyên theo từng tổ chức cụ thể. Nếu cần thiết, hỗ trợ khắc phục sẽ được cung cấp cho mỗi tổ chức SLTT triển khai dịch vụ.
Bất kỳ tổ chức chính phủ SLTT nào của Hoa Kỳ là thành viên của MS hoặc EI-ISAC đều có thể đăng ký MDBR. Họ có thể tận dụng lớp bảo vệ an ninh mạng bổ sung này mà không mất bất kỳ chi phí nào, nhờ vào sự hỗ trợ tài chính từ CISA.
Giới thiệu về Quad9
Quad9 ngăn chặn các tên miền độc hại đã biết, ngăn máy tính và thiết bị IoT của tổ chức bạn kết nối với phần mềm độc hại hoặc trang web lừa đảo. Bất cứ khi nào người dùng Quad9 nhấp vào liên kết trang web hoặc nhập địa chỉ vào trình duyệt web, Quad9 sẽ kiểm tra trang web đó với danh sách các tên miền được biên soạn từ hơn 18 đối tác tình báo mối đe dọa khác nhau. Mỗi đối tác tình báo mối đe dọa cung cấp danh sách các tên miền độc hại dựa trên phương pháp thử nghiệm kiểm tra các yếu tố như phát hiện phần mềm độc hại được quét, hành vi trước đây của IDS mạng, nhận dạng đối tượng trực quan, nhận dạng ký tự quang học (OCR), cấu trúc và liên kết đến các trang web khác cũng như các báo cáo riêng lẻ về hành vi đáng ngờ hoặc độc hại. Dựa trên kết quả, Quad9 sẽ giải quyết hoặc từ chối nỗ lực tra cứu, ngăn chặn kết nối đến các trang web độc hại khi có sự trùng khớp. Quad9 định tuyến các truy vấn DNS của tổ chức bạn thông qua mạng lưới máy chủ an toàn trên toàn cầu.
Thông tin bản quyền
Những mẹo này được Cơ quan Công nghệ Thông tin Commonwealth of Virginia Virginia phối hợp với:
