Việc phát hiện và ngăn chặn được tấn công APT cần phải có phương pháp tiếp cận nhiều mặt của các nhà quản trị mạng, các nhà cung cấp bảo mật và người dùng cá nhân.
❖ Giám sát đường truyền
Theo dõi lưu lượng truy cập ra và vào được xem là phương pháp tốt nhất để ngăn chặn được việc cài cắm cửa hậu, ngăn chặn việc trích xuất dữ liệu bị đánh cắp. Kiểm tra lưu lượng truy cập trong mạng cũng có thể giúp cảnh báo cho nhân viên an ninh bất kỳ hành vi bất thường nào có liên quan tới các hành vi tấn công.
Một tường lửa ứng dụng web triển khai tại gateway sẽ giúp bảo về các ứng dụng web khỏi các tấn công như RFI, SQL injection… thường được dùng cho việc tiếp cận mạng của tổ chức từ phía kẻ tấn công.
Giám sát lưu lượng nội bộ, như sử dụng một tường lửa sẽ giúp cho quản trị viên xem xét chi tiết cách người dùng tương tác trong mạng của công ty, đồng thời giúp xác định các bất thường về lưu lượng nội bộ.
❖ Whitelist các ứng dụng và tên miền
Whitelist là một các để kiểm soát các tên miền có thể được truy cập từ mạng của công ty, cũng như các ứng dụng có thể được cài đặt bởi nhân viên trong công ty. Đây là một phương pháp hữu ích khác để giảm tỷ lệ thành công của các cuộc tấn công APT bằng cách giảm thiểu bề mặt có thể bị tấn công.
Tuy nhiên, biện pháp bảo mật này không phải là điều dễ dàng, vì ngay cả những tên miền và ứng dụng đáng tin cậy cũng có thể bị xâm nhập.
Để có được whitelist hiệu quả, phải thực thi chính sách cập nhật một cách nghiêm ngặt để đảm bảo người dùng của bạn luôn chạy phiên bản mới nhất của bất kỳ ứng dụng nào xuất hiện trong danh sách.
❖ Kiểm soát truy cập
Đối với kẻ tấn công, các nhân viên thường là điểm yếu nhất và dễ bị tấn công nhất vì:
- Những nhân viên bất cẩn bỏ qua các chính sách an ninh mạng và vô tình cấp quyền truy cập vào các mối đe dọa tiềm ẩn
- Những nhân viên xấu cố ý lạm dụng thông tin người dùng của họ để cấp quyền truy cập vào thủ phạm
- Người dùng bị mất các thông tin mật và các thông tin này được sử dụng bởi các kẻ tấn công
- Phát triển chính sách kiểm soát hiệu quả yêu cầu có sự đánh giá toàn diện về mọi nhân viên trong tổ chức – đặc biệt thông tin mà họ truy cập được. Các thông tin quan trọng phải được bảo đảm với xác thực hai yếu tố (2FA). Điều này giúp cho các thông tin quan trọng an toàn hơn.
❖ Các biện pháp khuyến cáo khác
Ngoài các biện pháp trên, đây là những biện pháp thực hành tốt nhất để đảm bảo an toàn mạng của bạn:
- Vá các phần mềm và hệ điều hành nhanh nhất có thể
- Mã hóa các kết nối từ xa để tránh việc bị nghe lén đường truyền - Có các bộ lọc thư rác và quét virus cho hệ thống mail
CHƯƠNG 3. MÔ PHỎNG TẤN CÔNG APT DỰA TRÊN MÔ HÌNH MITRE ATT&CK
Tấn công APT là một kiểu tấn công phức tạp và cần kết hợp nhiều kĩ thuật tấn công khác nhau để đạt được hiệu quả nhất định. Minh chứng cho điều đó, tại chương 3 này, nhóm sẽ triển khai mô phỏng cuộc tấn công APT dựa trên một vài kĩ thuật tấn công đã được nói đến trong chương 2. Mục đích của demo là đưa ra cái nhìn trực quan, dễ hình dung, cách vận dụng các kĩ thuật vào một cuộc tấn công như thế nào.